Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Configは設定しておけばOKじゃないって本当?AWS Config の運用ある...

Yuto Komai
August 27, 2023

AWS Configは設定しておけばOKじゃないって本当?AWS Config の運用あるあるをどう乗りこなしているか

2023/8/26
Security-JAWS【第30回】[Security-JAWS DAYS] ~Day1~
Session12の資料です。

Yuto Komai

August 27, 2023
Tweet

More Decks by Yuto Komai

Other Decks in Technology

Transcript

  1. 自己紹介 アカツキゲームス Yuto Komai / 駒井 祐人 e__koma 過去 実績等

    • AWS Summit Online 2020 ◦ 今回 クラウドセキュリティ 話 • AWS Summit Tokyo 2019 ◦ モバイルゲーム ECS 運用 + 大規模負荷テスト 話 • AWS official YouTube channel ◦ ECS スケーリング 簡易的な説明
  2. 話 前提 • Organizations 配下に AWS アカウントが数十個以上存在し 定期的に増減するような状況を想定 • Config

    社内セキュリティポリシーを守るため 1つ ツール ◦ (脅威検知や脆弱性管理など総合的な仕組みが必要で、 Config 運用しときゃクラウド セキュリティ バッチリ、という話で ないことを事前に補足)
  3. AWS Config と (今回 必須知識) AWS セキュリティ監査を自動化できるサービス 例: • 全世界にパブリックな

    Security Group が作られた • S3 にパブリック読み取りアクセスが許可されている • RDS スナップショットが公開されてしまっている 適切に運用すれ 「誰かが」「知らない間に」 「手動で」「別リージョンで」全世界公開 サーバを立ててしまった。こんなサーバも自動検知できる。
  4. Q. マネージドで実現する方法 ? A. Config 単体で できませんが、 Security Hub と統合することで、

    例外登録に準ずる機能が 最近 (やっと...) 可能に。 ※ 登録できるルール 個数上限やメンバーアカウント Config 見え方など   まだもう一声という印象 あるが、かなり改善した
  5. カスタムルール Lambda 運用 2. カスタムポリシー 実現 社内ポリシーに合わせて Config ルールを作成している △

    Config ルールがあるから、それに準ずる ◯ 社内ポリシー(※1) を整備し、マッチするも Config を利用。   足りない部分 カスタムルールで解決する。(※2) (※1) ISO など業界標準に準拠しつつ自社向けにカスタマイズしたポリシー (※2) awslabs に PR を投げてマージされたことも
  6. カスタムルール Lambda 運用 3. 全アカウント一括自動デプロイ • CloudFormation StackSets で全アカウントに一括デプロイ •

    新規 AWS アカウント作成時にも自動的にデプロイされる 詳細 AWS Summit 2020 資料を参考に ( 最近で Config を Organization に一括デプロイする機能もあるが、 StackSets 他 リソースで も利用している で引き続き StackSets を利用している )
  7. クラウドセキュリティ担当 スコープ #マルチクラウド #全アカウント #全リージョン #子会社 加えて Config 以外 アラートもある。日々発生するアラート

    反応できるが、 新しいアラートがどんどん通知されるため、1個1個対応状況を管理してられな い。 あれ...例 アラートって 「反応 してもらえたけど、対応 進んでる ...?」
  8. アラート管理 工夫 • リアルタイム通知 管理者へ自動メンション • 定期サマリ 対応状況 定期まとめ通知 セキュリティ担当

    インシデントレベルが高そうな通知と まとめ通知 みに反応していれ 運用スケール可能に
  9. NG 検知がゴミとして残ってしまう AWS アカウントを解約しても90日間 リソースが残り続けてしまう • Config NG 結果を放置して解約すると 集約アカウントに

    消せないNG結果 (ゴミ) が残り続けてしまう • 集約している EventBridge なども飛んでくる • Route53 なども消しておく が吉 アカウント解約時 事前にリソース削除をしましょう
  10. あなた 知らない Config 世界 AWS blog を毎日チェックしているみなさん! 残念ながら Config 最新情報

    キャッチアップできておりません なぜなら、マネージド Config Rule 定期的にしれっと追加されるから 昔 ブログになってたんだけど ...